Санкции по GDPR: как рассчитываются штрафы и чем еще грозят нарушения?
- 18 марта, 2026
- Data Privacy, Для бизнеса
Содержание
Организация нарушила правила обработки персональных данных: что происходит дальше?
Представим ситуацию: компания нарушила требования GDPR. Это не означает автоматический штраф в максимальном размере. Процесс привлечения к ответственности — это сложная административная процедура, в которой надзорный орган (Data Protection Authority, DPA) обязан следовать строгим правилам, чтобы решение было справедливым.
Надзорный орган не просто «выписывает штраф». Сначала запускается процесс расследования и выбора меры реагирования.
Шаг 1: Расследование
Надзорный орган обладает широкими следственными полномочиями (ст. 58(1) GDPR). Он может потребовать от компании любую информацию, провести аудит системы защиты персональных данных, получить доступ к помещениям и оборудованию.
Шаг 2: Выбор меры реагирования
Штраф — не единственный инструмент. Согласно ст. 58(2) GDPR, у регулятора есть спектр корректирующих полномочий:
Выносится, если нарушение только вероятно.
Ситуация, когда нарушение «только вероятно» (likely infringement), означает, что компания еще не нарушила закон, но планирует действия, которые неизбежно приведут к нарушению, если их осуществить.
В этом случае нарушение еще не наступило, и цель надзорного органа — предотвратить его.
Согласно статье 58(2)(a) GDPR, это относится к планируемым (предполагаемым) операциям обработки. Регулятор вмешивается на этапе, когда компания только намеревается запустить определенный процесс работы с данными.
В такой ситуации надзорный орган использует специальный инструмент — Предупреждение (Warning). Это сигнал компании: «Если вы сделаете то, что запланировали, вы нарушите закон».
💡 Пример вероятного нарушения
Компания разработала новую маркетинговую стратегию. Она планирует купить базу данных транзакций у стороннего ритейлера, чтобы анализировать покупки людей и предсказывать поведение. Компания уже подготовила техническую базу и внутренние приказы, но еще не загрузила данные и не начала их анализ.
Если надзорный орган узнает об этом (например, компания сама обратилась за консультацией в рамках ст. 36 GDPR или о планах стало известно из внутренней документации в ходе проверки), он видит, что намерение есть, но факта незаконной обработки еще нет.
Вместо штрафа орган выносит Предупреждение (Warning) о том, что эти планируемые действия нарушат принципы обработки данных. Если компания проигнорирует предупреждение и запустит процесс, тогда уже последуют более строгие санкции, такие как штраф или запрет обработки.
Выговор (Reprimand)
Может быть вынесен вместо штрафа, если нарушение незначительное (minor infringement) или штраф был бы несоразмерной нагрузкой для физлица.
Незначительным считается нарушение, которое не несет существенной угрозы правам и свободам людей и не затрагивает саму суть обязательств по защите данных.
В тексте самого регламента нет исчерпывающего списка «мелких» нарушений. Оценка проводится индивидуально в каждом конкретном случае. Согласно разъяснениям Европейского совета по защите данных (EDPB), нарушение может быть признано незначительным, если соблюдаются следующие условия:
🔹 Нарушение не создает значительной угрозы для прав и свобод физических лиц.
🔹 Ошибка носит скорее случайный или технический характер, не подрывая фундаментальные принципы защиты данных.
Важный нюанс: даже если нарушение признано незначительным, замена штрафа на выговор — это право, а не обязанность надзорного органа. Регулятор может все равно выписать штраф, если посчитает это необходимым для обеспечения соблюдения закона.
💡 Пример незначительного нарушения
Компания случайно отправляет новостную рассылку о стиральном порошке на неверный адрес электронной почты. В письме содержится имя клиента. Почему это незначительное нарушение? Хотя факт раскрытия персональных данных (имя и факт покупки) произошел, риск для человека минимален. Знание третьим лицом того, что кто-то купил стиральный порошок, с большой долей вероятности не нанесет этому человеку морального или материального ущерба и не нарушит его фундаментальные права.
Приказ о приведении в соответствие
Регулятор дает четкий список действий и дедлайн для исправления ошибок.
Согласно Статье 58(2)(d) GDPR, регулятор имеет право приказать компании изменить свои рабочие процессы так, чтобы они перестали нарушать закон. Это не просто дружеская рекомендация, а юридически обязательный документ, в котором указываются:
1) Конкретные шаги, которые должна предпринять компания.
2) Строгий дедлайн (обычно от нескольких недель до нескольких месяцев).
3) Обязанность отчитаться о выполнении.
Многие компании ошибочно полагают, что уплата штрафа закрывает вопрос. На самом деле, неисполнение приказа регулятора — это кратчайший путь к максимальным санкциям.
К чему может привести неисполнение такого приказа?
1) Повышение уровня штрафа. Нарушение приказа надзорного органа автоматически попадает во «второй уровень» (Tier 2) — самый дорогой. Это означает, что даже если исходное нарушение было техническим и мелким, игнорирование требований регулятора может поднять планку штрафа до 20 млн евро или 4% от оборота.
2) Публичность. Регуляторы часто публикуют информацию о вынесенных приказах. Это подает сигнал инвесторам и клиентам о том, что инфраструктура компании небезопасна, что наносит огромный репутационный ущерб.
3) Доказательство вины для судов. Если компания не выполнила приказ и произошла повторная утечка, это будет считаться умышленным нарушением (intentional infringement), что является серьезным отягчающим фактором при расчете нового штрафа.
Запрет на обработку персональных данных (Processing Ban)
Это «высшая мера наказания» в арсенале регулятора, не связанная с деньгами напрямую.
Согласно Статье 58(2)(f) GDPR, надзорные органы имеют право вводить временное или окончательное ограничение, включая полный запрет на обработку данных. Регулятор может запретить:
🔹 Сбор определенных категорий данных (например, биометрии).
🔹 Использование конкретных алгоритмов или AI-моделей, обученных на незаконно полученных данных.
🔹 Передачу данных партнерам или в другие страны (например, в США).
Запрет может быть:
🔹 Временным (Temporary): Дается пауза, чтобы компания внедрила технические меры (например, шифрование или MFA).
🔹 Окончательным (Definitive): Если регулятор считает, что нарушение невозможно исправить в рамках текущей бизнес-модели.
Регулятор прибегает к этой мере в исключительных случаях, когда денежного штрафа недостаточно или когда продолжение обработки наносит непоправимый вред гражданам. Например, если компания систематически игнорирует требования GDPR или если сама модель её бизнеса построена на нарушении прав (например, массовый сбор данных из соцсетей без согласия).
💡 В мае 2022 года британский регулятор (ICO) применил этот инструмент против американской компании Clearview AI Inc.
Компания собрала базу из более чем 20 миллиардов лиц пользователей интернета (включая жителей Великобритании) для системы распознавания лиц, не имея на то законных оснований.
Помимо штрафа в 7,5 млн фунтов, компания получила Enforcement Notice (исполнительное уведомление).
Регулятор официально приказал компании прекратить сбор и использование данных жителей Великобритании, которые находятся в открытом доступе, и удалить уже накопленную информацию из своих систем.
Рассказываем про пять кейсов нарушений GDPR в системах ИИ, которые показывают типичные ошибки при работе на стыке AI & Data Privacy.
Нарушение приказа о запрете на обработку — это прямое нарушение Статьи 58(2) и так же, как и в предыдущем случае, карается по самому высокому тарифу (Tier 2): до 20 млн евро или 4% от мирового оборота.
Шаг 3: Процессуальные гарантии
Любое решение должно приниматься с соблюдением надлежащей правовой процедуры. Компания имеет право быть выслушанной и право на эффективную судебную защиту (обжалование решения в суде).
Что учитывает надзорный орган (Data Protection Authority) при определении штрафов?
Когда организация нарушает GDPR, определение суммы штрафа — это не автоматический процесс. Надзорные органы (DPAs) следуют четкому списку критериев, изложенных в Статье 83(2) GDPR, чтобы наказание было «эффективным, соразмерным и сдерживающим».
Основные факторы, которые регулятор кладет на чашу весов при вынесении вердикта:
Характер, тяжесть и продолжительность нарушения
Регулятор оценивает масштаб «катастрофы»: как именно произошло нарушение, почему оно стало возможным, сколько людей пострадало и какой ущерб они понесли.
Умысел или халатность
Был ли это сознательный выбор руководства ради прибыли или досадная ошибка сотрудников? Умышленные нарушения караются гораздо жестче, чем те, что произошли по неосторожности.
Меры по смягчению ущерба для субъектов
Насколько быстро компания начала «тушить пожар»? Если организация предприняла активные шаги, чтобы уменьшить вред для пользователей, штраф может быть снижен.
Степень ответственности и технические меры
Регулятор проверяет, сделала ли компания всё возможное, чтобы предотвратить инцидент. Оценивается наличие внедренных протоколов безопасности, использование шифрования и соблюдение принципов privacy by design.
История нарушений
Был ли этот случай первым, или организация — «рецидивист»? Любые аналогичные прошлые нарушения будут работать как отягчающий фактор. Если же компания ранее имела безупречную репутацию, это может стать смягчающим обстоятельством.
Уровень сотрудничества с регулятором
Пыталась ли компания скрыть инцидент или, наоборот, активно помогала следствию? Искреннее содействие может помочь уменьшить сумму санкции, в то время как попытки препятствовать расследованию только увеличат её.
Категории затронутых данных
Утечка обычного списка имен — это плохо, но утечка биометрии, данных о здоровье или финансовых сведений — это критично. Чем чувствительнее данные, тем выше риск нарушения прав граждан и тем строже будет наказание.
Как регулятор узнал о проблеме
Компания сама сообщила об утечке или об этом написали в СМИ после жалоб клиентов? GDPR обязывает сообщать о серьезных утечках в течение 72 часов (ст. 33 GDPR). Сокрытие факта нарушения — прямой путь к самым крупным штрафам.
Финансовая выгода
Получила ли компания прибыль от нарушения? Например, если она незаконно продавала базу данных для рекламы или экономила на системах безопасности. Регулятор постарается сделать так, чтобы штраф не просто наказывал, но и «изымал» любую полученную выгоду.
Какие существуют штрафы за нарушения GDPR?
GDPR делит нарушения на две категории с разными «потолками» штрафов. Важно отметить, что для компаний (предприятий) используется понятие «оборот» (turnover) — имеется в виду общий годовой мировой оборот за предыдущий финансовый год.
🔹 Уровень 1 (Tier 1) — менее тяжкие нарушения:
— Например: нарушение обязанностей контролера/процессора, нарушение условий детского согласия, отсутствие Data Protection Officer (DPO), нарушение правил сертификации.
Для таких нарушений потолок — 10 000 000 евро или 2% от мирового годового оборота (выбирается бо́льшая сумма).
Не хватает ресурса команды для соответствия требованиям GDPR?
Наши специалисты на аутсорсе помогут закрыть пробелы.
Наши сертифицированные специалисты обеспечат соответствие бизнеса требованиям GDPR, будут координировать работу в случае инцидента и общаться с регуляторами от вашего имени. И все это — без расходов на содержание большой команды в штате.
🔹 Уровень 2 (Tier 2) — тяжкие нарушения:
— Например: нарушение основных принципов обработки (ст. 5), условий согласия, прав субъектов данных (ст. 12—22), правил передачи данных за границу, невыполнение приказов надзорного органа.
Потолок — 20 000 000 евро или 4% от мирового годового оборота (выбирается бо́льшая сумма).
При расчете штрафа для группы компаний может учитываться оборот всей группы (как экономической единицы), а не только конкретного дочернего юрлица, допустившего нарушение. Это берется из антимонопольного права ЕС (ст. 101) и 102 TFEU.
Как это работает для госсектора?
Для государственных органов правила могут отличаться. Например, в Ирландии штраф для госоргана ограничен потолком в 1 млн евро, если только он не занимается коммерческой деятельностью.
Как рассчитывается сумма штрафа за нарушение требований GDPR?
Европейский совет по защите данных (EDPB) разработал пошаговую методику расчета и изложил ее в Методических рекомендациях Европейского совета по защите данных (EDPB) 04/2022. Этот документ гармонизировал подход регуляторов к расчету сумм, чтобы они не брались «с потолка».
1. Определение обработки
Сначала выясняют, идет ли речь об одном нарушении или о нескольких связанных операциях (ст. 83(3) GDPR). Если нарушений несколько в рамках одной операции, штраф не превышает сумму за самое тяжкое из них.
2. Определение стартовой суммы
Учитывается классификация нарушения (см. уровни штрафов), серьезность нарушения и оборот компании.
Регулятор определяет категорию нарушения (уровень 1 или уровень 2) и оценивает его степень тяжести: низкую, среднюю или высокую.
🔹 Низкая тяжесть: Стартовая сумма составляет 0–10% от максимально возможного штрафа.
🔹 Средняя тяжесть: 10–20% от максимума.
🔹 Высокая тяжесть: 20–100% от максимума.
3. Корректировка
Сумма увеличивается или уменьшается с учетом размера организации и отягчающих и смягчающих обстоятельств (ст. 83(2) GDPR).
Штраф должен быть «болезненным», но не убивать бизнес. Чтобы наказание было справедливым для всех — от стартапов до гигантов — применяются понижающие коэффициенты на основе оборота.
🔹 Для микропредприятий (оборот до 2 млн евро) стартовая сумма может быть снижена до 0,2%–0,4% от базовой ставки.
🔹 Для гигантов (оборот более 500 млн евро) такие скидки не применяются, так как их масштаб уже учтен в 4% лимите от оборота.
Также регулятор смотрит, что делает нарушение хуже. Каждое такое обстоятельство увеличивает итоговый чек. Такими обстоятельствами могут быть:
🔹 Умысел: Если руководство знало о рисках, но игнорировало их ради прибыли (например, продажа базы данных без согласия).
🔹 Длительность: Чем дольше компания скрывала или не замечала проблему, тем выше штраф.
🔹 Чувствительность данных: Если утекли не просто имена, а биометрия, данные о здоровье или финансовые сведения, тяжесть резко возрастает.
🔹 Отсутствие EU Represenative: Представитель служит локальным контактным лицом для граждан и регуляторов. Когда его нет граждане ЕС лишены возможности легко защитить свои права (например, потребовать удаления данных), а регуляторам труднее проводить расследования. Поэтому, если компания «забыла» про EU Representative, надзорный орган может расценить это как небрежность или даже умысел, что автоматически переводит штраф из нижней границы диапазона в более высокую.
При этом компания может получить некоторую «скидку», если покажет себя ответственным игроком, например, будет сотрудничать с надзорным органом и оперативно бороться с последствиями.
Несколько примеров того, как разные обстоятельства могут уменьшить или увеличить сумму штрафа:
В компании произошла утечка данных 339 млн гостей из-за уязвимости в системах купленной сети Starwood. Изначально Британский регулятор (ICO) планировал назначить штраф в 99 млн фунтов. Однако на уменьшение сработали:
1) Инвестиции в безопасность: Marriott доказала, что вложила огромные суммы в IT еще до того, как узнала об атаке.
2) Активное «тушение пожара»: Компания создала спецсайт на разных языках, открыла колл-центр и предоставила пострадавшим услуги мониторинга их данных в сети.
3) Сотрудничество: Полное и безоговорочное содействие следствию.
Как итог — штраф снизили на 20% до 22,4 млн, а затем еще раз из-за влияния пандемии. Финальная цифра составила 18,4 млн фунтов — более чем в 5 раз меньше начальной.
Хакеры взломали аккаунты сотрудников, что привело к финансовому мошенничеству.
Изначальный штраф за отсутствие многофакторной аутентификации (MFA) и плохие настройки антиспама (Статьи 5(1)(f) и 32(1)) составлял 25 000 евро. Однако за то, что университет «тянул» с уведомлением регулятора об утечке дольше 72 часов (Статья 33(1)) добавилось еще 15 000 евро.
Общий итог — штраф в 40 000 евро.
Здесь регулятор применил жесткую тактику из-за отсутствия обязательного EU Representative.
Платформа не назначила представителя в ЕС (Статья 27), из-за чего европейцы не могли потребовать удаления своих данных. За это компания получила штраф в 525 000 евро.
При этом регулятор добавил условие: если представитель не будет назначен в срок, компания будет платить еще по 20 000 евро каждые две недели просрочки (до лимита в 120 тыс.).
4. Проверка лимитов
Итоговая сумма не может превышать законодательный максимум. Если одно и то же действие привело к нарушению нескольких статей GDPR, штраф не суммируется бесконечно. Согласно Статье 83(3), общая сумма не может превышать лимит за самое тяжкое из совершенных нарушений.
5. Тест на эффективность
Регулятор проверяет, достигает ли штраф цели наказания и сдерживания, не будучи при этом чрезмерным. Если штраф кажется слишком маленьким для огромной корпорации, его могут увеличить с помощью «коэффициента сдерживания», чтобы у компании не возникло соблазна просто «включить штраф в стоимость бизнеса».
Итог
Штрафы GDPR — это не лотерея и не случайные цифры, а результат работы четко выверенного механизма. Регуляторы используют пятиэтапную методику, чтобы наказание было «эффективным, соразмерным и сдерживающим» и учитывают все максимальное количество факторов, поэтому даже самое небольшое усилие в пользу клиента или минутное закрытие глаз на проблемы в компании тоже могут повлиять.
При этом финансовые санкции — лишь верхушка айсберга; приказы об исправлении или полный запрет на обработку могут парализовать бизнес быстрее, чем любой многомиллионный чек.
Помните: в мире защиты персональных данных проактивность всегда стоит дешевле, чем реакция на кризис.
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
